|
|
| (не показано 14 промежуточных версий 2 участников) |
| Строка 1: |
Строка 1: |
| {{Stub}}
| | Материал был обновлён. Читайте актуальную информацию в статье: [https://www.altlinux.org/Групповые_политики/LAPS LAPS]. |
| На данной странице описана не существующая функциональность, а лишь описание идеи о ее реализации.
| |
| Эта групповая политика позволит централизованно задавать пароль для локальных пользователей root (возможно и для других локальных пользователей) на всех хостах.
| |
| == Сценарии изменения пароля ==
| |
| Предлагается к рассмотрению 2 сценария изменения паролей для локальных пользователей root
| |
| #'''<big>Применять каждый раз</big>'''<br> Создается GPO, в котором указывается пароль в виде, указанном ниже. К данному GPO привязываются рабочие станции, на которых необходимо изменить пароль. Затем gpupdate на каждой рабочей станции применяет политики с новым паролем. Если администратор или пользователь, знающий текущий пароль root, локально поменяет на свой, то пароль будет сброшен при повторным применением политики
| |
| #'''<big>Применить однажды</big>'''<br> У Microsoft в RSAT есть возможность создания GPO с параметром "Apply once and do not reapply". Если повторить такой функционал в gpupdate и admc, то появится возможность задавать политику с новым пармолем, которая будет применяться единожды. При этом у пользователей есть возможность изменить пароль для rotot. Однако при модификации GPO, политика применится и перетрет пароль, заданный пользователем.
| |
| | |
| == Способ передачи пароля ==
| |
| {{Merge|tcb}}
| |
| Можно передавать пароль в виде plain text, однако такой способ небезопасен по очевидным причинам. Поэтому предлагается передавать не сам пароль, а его хеш и подставлять его в файл с паролями в соответствии со схемой хранения паролей.
| |
| | |
| Существует три схемы хранения паролей:
| |
| * [[TCB]]
| |
| * [[Traditional]]
| |
| * [[Restricted]]
| |
| В Alt по умолчанию используется схема [[TCB]], по этому далее рассмотрим ее.
| |
| В отличие от остальных схем, в TCB для каждого пользователя создается отдельный файл, хранящий пароль в зашифрованном виде. такие файлы имеют путь
| |
| <source>
| |
| /etc/tcb/%username%/shadow
| |
| </source>
| |
| и содержат в себе одну строку вида:
| |
| <source>
| |
| username:password:lastchanged:minimum:maximum:warn:inactive:expire:reserve
| |
| </source>
| |
| со следующими полями:
| |
| # '''<big>Username</big>''' <br> Имя пользователя, используемое для входа в систему.
| |
| # '''<big>Password</big>''' <br> Хеш пароля в формате ''$id$salt$hashed''.
| |
| ## '''id''' <br> идентификатор алгоритма хеширования (см. таблицу ниже)
| |
| ## '''salt''' <br>соль
| |
| ## '''hashed''' <br>хеш-сумма пароля
| |
| # '''<big>Lastchanged</big>''' <br> Дата последнего изменения пароля. (Количество дней с 01.01.1970).
| |
| # '''<big>Minimum</big>''' <br> Минимальный срок действия пароля. Количество дней, которое должно пройти, прежде чем пароль пользователя может быть снова изменен.
| |
| # '''<big>Maximum</big>''' <br> Максимальный срок действия пароля. Количество дней после смены пароля пользователя.
| |
| # '''<big>Warn</big>''' <br> Количество дней до истечения срока действия пароля, в течение которого пользователь получает предупреждение о необходимости изменения пароля.
| |
| # '''<big>Inactive</big>''' <br> Количество дней после истечения срока действия пароля пользователя до отключения учетной записи пользователя.
| |
| # '''<big>Expire</big>''' <br> Дата, после которой учетная запись будет отключена (Количество дней с 01.01.1970).
| |
| # '''<big>Reserve</big>''' <br> Не используется.
| |
| {| class="wikitable"
| |
| |+Алгоритмы хеширования
| |
| |-
| |
| ! идентификатор !! способ хеширования !! комментарий
| |
| |-
| |
| | $1 || MD5 ||
| |
| |-
| |
| | $2a || Blowfish ||
| |
| |-
| |
| | $2y || Eksblowfish ||
| |
| |-
| |
| | $5 || SHA-256 ||
| |
| |-
| |
| | $6 || SHA-512 ||
| |
| |-
| |
| | $y || yescript || используется по умолчанию
| |
| |-
| |
| | $gy || [[OSS-GOST-Crypto/gost-yescrypt|gost-yescrypt]] ||
| |
| |}
| |
| К примеру, строка для пользователя ``root`` с паролем ``password`` будет такая:
| |
| <source>
| |
| root:$y$j9T$jqfB3ZPUUnifIk09RvnjZ/$Pwz0u55QpZo/JQ.eEuEi2Rip1bS5/.mSvzvdYP2mVj.:18926::::::
| |
| </source>
| |
| Как видно из примера, некоторые поля могут не иметь значения.
| |